[PDF] IFT6271–Sécurité Informatique (Solution de lexemple Hiver 2014)

View - Download IFT6271–Sécurité Informatique (Solution de lexemple Hiver 2014)

Previous PDF

Next PDF

IFT6271-Sécurité Informatique

(Solution de l"exemple, Hiver 2014)

Louis Salvail

1

Université de Montréal (DIRO), QC, Canada

salvail@iro.umontreal.ca

Bureau: Pavillon André-Aisenstadt, #3369

3 Exemple-politique de sécurité

3.1 Les menaces.

Voici une liste de menaces supplémentaires au bon déroulement d"un examen donné dans les conditions de l"énoncé. Rappelons simplement le fait que les examens autorisent ou nécessitent l"utilisation d"un ordinateur portable pour essentiellement trois choses:

1. Pour l"accès à des notes de cours, des notes personnelles, à des manipulation de données

(i.e. via des logiciels), l"énoncé de l"examen,

2. pour rédiger l"examen et

3. pour la remise de l"examen vers un serveur prévu à cet effet.

Dans cette section, nous décrivons les nouvelles attaques qui sont rendues possibles par l"ajout des éléments 1, 2 et 3 au déroulement normal des examens. Nous ne traitons donc pas des menaces qui existent déjà dans le cadre normal des examens à moins que leur déploiement en soit facilité par le nouvel environnement. Nous donnons une liste de menaces selon la classification STRIDE. Nous choisissons cette classification puisqu"une classification par les effets semble préférable à ce point.

Puisque la politique de sécurité qui suivra devra s"inspirer des menaces identifiées ici, une

identification par effet est une façon simple de diriger sa rédaction. Spoofing Identity:Dans le cas qui nous intéresse, la personnification d"un autre usager permettrait de soumettre un examen au nom d"un autre étudiant. La personne malveil- lante peut être:

1. Un étudiant présent à l"examen, ou

2. un adversaire externe (situé à l"extérieur de la salle d"examen).

L"effet d"une telle attaque est l"attribution d"un examen remis à autre que celle/celui qui l"a fait. Ceci peut éventuellement mener à une mauvaise attribution des notes pour des étudiants honnêtes. Une attaque avec ces effets peut être lancée avant ou pendant le déroulement de l"examen. Tampering:L"adversaire peut manipuler des données sans qu"il n"y soit autorisé. Le ré- sultat étant des modifications des réponses d"un examen données par un étudiant ou

même des modifications à l"énoncé de l"examen récupéré par certains étudiants. L"effet

d"une telle attaque dans notre situation est:

1. L"annulation d"un examen mené honnêtement,

2. une note plus basse ou plus haute que méritée attribuée à un étudiant honnête, ou

3. une note plus haute attribuée à un étudiant malhonnête.

Une attaque avec ces effets doit être lancée pendant ou avant le déroulement de l"examen. Repudiation:Dans notre situation, un étudiant malhonnête pourrait nier avoir remis un exament lui étant attribué correctement. Dans notre scénario, il s"agirait de nier qu"une remise ait été faite après que celle-ci soit transmise au serveur de réception L"effet pourrait être une entrave au déroulement normal d"un examen et/ou et une mauvaise attribution des notes. Une attaque avec ces effets doit prendre place pendant ou après le déroulement de l"examen. Information disclosure:Dans notre situation, le résultat d"une telle menace est ou bien le plagiat ou bien un avantage non légitime à la réalisation d"un examen. Une telle menace peut se décliner de trois façons:

1. Un étudiant malhonnête réussi à accéder à des données relatives à l"examen en cours

qui sont du domaine d"un autre étudiant à son insu,

2. Un étudiant malhonnête transmet des données relatives à l"examen en cours à un

autre étudiant et

3. Un étudiant réussit à obtenir le questionnaire de l"examen avant la tenue de l"examen.

Encore une fois, les conséquences peuvent se faire sentir dans l"attribution juste des notes. Les attaques avec ces effets doivent être conduites pendant le déroulement de l"examen pour les points 1 et 2 et avant l"examen pour les points 3. Denial of service:Un adversaire peut interférer avec le déroulement normal d"un examen en empêchant la remise vers le serveur de réception. Une telle attaque peut être lancée de l"intérieur ou de l"extérieur pendant le déroulement de l"examen. L"effet d"une telle attaque peut aller jusqu"à l"annulation d"un examen.

Élévation des privilèges:Une telle attaque permettrait à l"adversaire d"obtenir les droits

de l"un ou l"autre des usagers avec privilèges supérieurs suivants:

1. les droits d"un étudiant inscrit sur son portable,

2. les droits d"administrateurs sur le serveur de réception et

3. les droits des étudiants inscrits à un examenexaportable.

L"effet pourrait aller d"une mauvaise attribution des notes jusqu"à une annulation de l"examen. Une telle attaque peut être menée pendant ou avant l"examen à partir de l"intérieur ou de l"extérieur de la salle.

3.2 Politique de sécurité pour les usagers du système

Préambule.

yLa présente politique porte sur le bon déroulement des examensexa- portabletenus dans les salles prévues à cet effet (i.e.les sallesexaportable). Elle

établit les règles qui doivent être suivies par tous les usagers impliqués. Elle énonce les règles

d"utilisation du matériel informatique rendu disponible ou autorisé pendant le déroulement

des examensexaportable. Elle doit être interprétée en complément aux règles en vigueur

lors des examens traditionnels. Cette politique ne traite pas des règles déjà en vigueur lors

des examens traditionnels. Pour ces règles déjà établies, consultez la politique des examens

de l"université. 2 Objectifs.Les objectifs principaux de cette politique sont: -Contribuer au déroulement équitable d"examensexaportable. -Assurer un déroulement normal de ces examens en évitant que les systèmes mis à dis- position ne soient perturbés. -Encadrer les mesures de protection pour qu"elles soient efficaces et deployées de façon uniforme dans toutes les sallesexaportable.

Définitions.

yLes termes suivants seront utilisés par la suite: exaportable:Le nom donné aux examens où le portable est autorisé et où un serveur de réception est mis à disposition des étudiants pour la remise de leur examen. Ces examens se déroulent dans une salle préparées à cet effet que l"on nommesalleexaporable.

Examen:Désgine l"énoncé pour lequel les étudiants doivent apporter des réponses dans le

cadre d"un examenexaportable. Usager(s) exaportable:Le professeurs ou chargé de cours qui donne un examenexa- portableet les étudiants inscrits à un examenexaportable. Technicien:Toute personne qui par sa fonction est amenée à installer des ressources informatiques dans une salleexaportable. Technicien en chef:Toute personne qui par sa fonction a la responsabilité des ressources informatiques dans les sallesexaportable. Directeur de la sécurité informatique:Personne en charge des politiques de sécu- rité pour les systèmes de TI dans cette université. Serveurouserveur de réception:Désigne le serveur de remise des examens tenus dans les sallesexaportable. Portable:Désigne un ordinateur portable qui n"est pas un téléphone mobile. Bluetooth:Désigne les techniques radio courte distance qui peuvent être utilisées par les portables pour s"interconnecter.quotesdbs_dbs2.pdfusesText_3

[PDF] examen sécurité informatique cryptographie

[PDF] examen statistique descriptive s1

[PDF] examen tef pdf

[PDF] examen tens en ligne

[PDF] examen tens francais exemple

[PDF] examen tens reponse

[PDF] examen tens science economique

[PDF] examen tens science nature

[PDF] examen thermodynamique corrigé

[PDF] examen toefl pdf

[PDF] examenblad

[PDF] examens 3 trimestre 4ap

[PDF] examens 3eme annee primaire

[PDF] examens corrige en mecanique analytique

[PDF] examens corrigés de macroéconomie